image

Grapperhaus ziet niets in back-upplicht voor organisaties

dinsdag 24 maart 2020, 10:09 door Redactie, 12 reacties

Minister Grapperhaus van Justitie en Veiligheid ziet niets in een verplichting voor organisaties om back-ups te maken. Ook zal het kabinet niet met beleid komen over het betalen van losgeld bij ransomware. Dat heeft de minister laten weten op Kamervragen van D66-Kamerlid Kees Verhoeven.

Hij stelde Kamervragen naar aanleiding van de ransomware-infectie bij de Universiteit Maastricht. De universiteit betaalde bij twee ton om weer toegang tot bestanden te krijgen. "In hoeverre is het mogelijk om voor dergelijke beslissingen over het al dan niet betalen van losgeld eenduidig beleid te ontwikkelen? Ziet u additionele mogelijkheden voor beleid op het gebied van back-upbeleid?".

Volgens de minister is het betalen van criminelen om bestanden te ontsleutelen "altijd onwenselijk". Daarnaast is het de verwachting dat het betalen van losgeld tot meer aanvallen zal leiden, stelt hij verder. Toch ziet Grapperhaus geen reden om aanvullend beleid te ontwikkelen met betrekking tot het al dan niet betalen van losgeld.

Wat betreft beleid over het maken van back-ups ziet de minister ook hier niets in. "Er bestaan geen algemene verplichtingen rond het maken van back-ups. Organisaties zijn zelf verantwoordelijk voor de cybersecurity binnen hun organisatie", laat hij weten. Wel wordt in verschillende preventiecampagnes en door het NCSC gewezen op het maken van back-ups. "Dit is een van de basisbeginselen om de schade van cybercrime te beperken", merkt de minister op.

Reacties (12)
24-03-2020, 10:32 door Erik van Straten
Steeds meer ransomwaremakers kopiëren vertrouwelijke bestanden naar hun eigen systemen voordat ze bestanden in organisaties versleutelen. Als je niet betaalt dreigen ze die vertrouwelijke gegevens te verkopen of te publiceren. Ik heb sites gezien waarop dat laatste daadwerkelijk gebeurt.

Back-ups helpen daar totaal niet tegen. Sterker, ze stimuleren dit "business" model.

Prio 1: houd ongeautoriseerden buiten de deur;
Prio 2: neem maatregelen om de continuïteit te waarborgen (waaronder back-ups).
24-03-2020, 10:56 door Anoniem
Voor kritieke sectoren geldt al dat zij risico-assessments dienen te doen en op basis daarvan moeten handelen. Ik verwacht dat daarin de eigen organisatie wordt meegenomen, maar eventuele impact op de regio of verder. Mitigerende maatregelen zoals een back-ups komen dan vanzelf aan de orde op plekken waar dat nuttig is.
24-03-2020, 12:41 door karma4
Het gaat niet om backups maken, de werkelijke noodzaak is begrijpen wat nodig is voor de continuïteit en daar de maatregelen voor nemen. Het is een risico gebaseerd iets. Niet elk bedrijf moet binnen een uur alles draaiend kunnen hebben.
24-03-2020, 14:01 door Anoniem
Door karma4: Het gaat niet om backups maken, de werkelijke noodzaak is begrijpen wat nodig is voor de continuïteit en daar de maatregelen voor nemen. Het is een risico gebaseerd iets. Niet elk bedrijf moet binnen een uur alles draaiend kunnen hebben.

In het algemeen heb je gelijk. Helaas gaat het bij een ransomware versleuteling (ergo: er is al versleuteld) of je ransomware betaald of niet. Dan wordt opeens die backup relevant. Naast de maatregelen als segmentering, least privilged & anti ransomware tooling blijft bij mij off-line backup een sterk aanwezige noodzaak .

Eminus
24-03-2020, 14:36 door Erik van Straten
"Ransomwarecriminelen zetten toch data van medische instelling online na aanval": https://tweakers.net/nieuws/164980/ransomwarecriminelen-zetten-toch-data-van-medische-instelling-online-na-aanval.html.

"De criminelen hebben medische dossiers van patiënten online gezet". Echt fijn (not) voor die patiënten dat er nu meerdere back-ups zijn van hun gegevens.
24-03-2020, 14:51 door Anoniem
Tja een backup is de eigen verandwoordelijkheid van een bedrijf,als er een storing is en alles is weg,dan zitten ze met de gebakken peren.
Want ze moeten hun data dan terug halen vanuit een backup,hebben ze die niet dan moeten ze alles weer vanaf de grond af aan met de benodigde gegevens opbouwen.
Dus ik neem aan dat ieder bedrijf gewoon uit zich zelf zijn data opslaat op een tweede server.
Dus het verplichten van backuppen is niet aan de orde,iedereen is wijs genoeg dat te doen.
24-03-2020, 17:36 door Anoniem
Door Anoniem: Tja een backup is de eigen verandwoordelijkheid van een bedrijf,als er een storing is en alles is weg,dan zitten ze met de gebakken peren.
Want ze moeten hun data dan terug halen vanuit een backup,hebben ze die niet dan moeten ze alles weer vanaf de grond af aan met de benodigde gegevens opbouwen.
Dus ik neem aan dat ieder bedrijf gewoon uit zich zelf zijn data opslaat op een tweede server.
Dus het verplichten van backuppen is niet aan de orde,iedereen is wijs genoeg dat te doen.

Het probleem is meestal niet het terugzetten van de data, maar het terugzetten van de hele configuratie van de machines,
zeker in een Windows omgeving waar dit niet zo makkelijk met een standaard backup/restore gaat.
Als je ineens geen enkele werkende machine meer hebt maar alleen nog een partij tapes, dan is het niet eenvoudig.
24-03-2020, 18:39 door karma4
Door Anoniem:
In het algemeen heb je gelijk. Helaas gaat het bij een ransomware versleuteling (ergo: er is al versleuteld) of je ransomware betaald of niet. Dan wordt opeens die backup relevant. Naast de maatregelen als segmentering, least privilged & anti ransomware tooling blijft bij mij off-line backup een sterk aanwezige noodzaak .

Eminus
Natuurlijk heb je gelijk. Ik stel niet een backup gericht op machines voir maar een op de logische functioniteit.

Machines met een os schoon inrichten.
De paketten schoon inrichten met daarbij de configuratie veranderingen voor het os en het pakket scripted uitrollen.

Dan blijft als laatste het wezenlijke voor een organisatie over. Dat zijn de werkelijke basisgegevens met de algoritmes voor de processen.
De kerntaken hebben een andere vereiste hersteltijd dan ondersteunende of die nog in ontwikkeling waren.

Daar moet je een draaiboek getest voor hebben. En die test moet zonder herstelacties zijn verlopen.
24-03-2020, 19:28 door Anoniem
Is het niet zo dat je onder de AVG al wettelijk verplicht bent om met adequate, hedendaagse, technische middelen verlies van gegevens te voorkomen? Valt het hebben van een goede (en bruikbare) backup daar niet onder?
24-03-2020, 22:10 door karma4
Door Anoniem: Is het niet zo dat je onder de AVG al wettelijk verplicht bent om met adequate, hedendaagse, technische middelen verlies van gegevens te voorkomen? Valt het hebben van een goede (en bruikbare) backup daar niet onder?
Sinds de jaren 60 al verplicht via vele toezichthouders. Toch wegens het te duur zijn, constant nagelaten
25-03-2020, 08:02 door Anoniem
Door Anoniem: Is het niet zo dat je onder de AVG al wettelijk verplicht bent om met adequate, hedendaagse, technische middelen verlies van gegevens te voorkomen? Valt het hebben van een goede (en bruikbare) backup daar niet onder?
Natuurlijk. Maar wetgevers zijn al meerdere keren gestruikeld over het probleem dat technologie-afhankelijke formuleringen in wetten achterhaald kunnen raken waar je bij staat. Techniek verandert vaak sneller dan wetgevers kunnen bijbenen, en daardoor blijven wetten langer houdbaar als ze zo technologie-onafhankelijk mogelijk worden geformuleerd — wat overigens niet hoeft te gelden voor hoe die wetten in richtlijnen voor allerlei organisaties worden vertaald.

Men schrijft daarom niet voor dat je backups moet gebruiken om dataverlies te voorkomen, men schrijft voor dat je dataverlies moet voorkomen. Mocht er ooit een alternatief voor backups worden bedacht dat nu nog onvoorstelbaar is en pure magie lijkt dan is een wet die backups voorschrijft in een klap een blok aan ons been, terwijl een wet die alleen aangeeft wat je ermee moet bereiken gewoon van toepassing blijft.
25-03-2020, 12:36 door karma4
Door Anoniem: …. Mocht er ooit een alternatief voor backups worden bedacht dat nu nog onvoorstelbaar is en pure magie lijkt dan is een wet die backups voorschrijft in een klap een blok aan ons been, terwijl een wet die alleen aangeeft wat je ermee moet bereiken gewoon van toepassing blijft.
Vandaar dat het voorschrijft is om continuïteit in de dienstverlening te leveren. Geheel techniekonafhankelijk gericht op het uiteindelijke resultaat. Het gaat mis zodra er auditors met vinkenlijstjes aankomen met de techniek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.